Escolar Documentos
Profissional Documentos
Cultura Documentos
Resumo
Este trabalho apresenta uma proposta para utilização da metodologia CommonKADS como uma forma de se
definir quais as informações estratégicas que devem ter a atenção da Auditoria. A partir da identificação dessas
informações é possível se elaborar um Plano de Auditoria cujo foco seja garantir informações confiáveis para
subsidiar a tomada de decisão. No decorrer do trabalho foi possível observar que a aplicação no método propicia,
não só a Auditoria da Informação, mas também a Auditoria do Conhecimento que subsidia a tomada de decisão.
Abstract
This work shows a proposal for using the methodology CommonKADS as a way to define what strategic
information must have the audit attention. When such information is identified, it is possible to elaborate an audit
plan whose focus could guarantee reliable information helping decision makings. Along this work (project), it
was possible to observe that the application on the method had helped not just the audit information, but also the
audit knowledge, being a basis for making decision.
1. Introdução
Este trabalho tem por objetivo descrever uma forma de se priorizar o foco da auditoria, de
forma a garantir que as informações estratégicas da empresa, ou de determinada área de
negócio, sejam confiáveis.
A partir da identificação das informações fundamentais, relevantes para o negócio, se
procura, por meio de um processo de decomposição, identificar todos os caminhos da
informação e seus pontos críticos, até a sua origem. Com base neste caminho acredita-se ser
possível delinear um plano de auditoria, que contemplaria todas as instâncias de auditoria
(auditoria de sistemas, de ambiente, de produção, de rede) sobre a informação que realmente
faz diferença para a empresa ou área de negócio sobre a qual se está trabalhando.
2. Auditoria
A Auditoria é uma atividade que engloba o exame das operações, processos, sistemas e
responsabilidades gerenciais de uma determinada entidade, com o intuito de verificar sua
conformidade com certos objetivos e políticas institucionais, orçamentos, regras, normas ou
padrões [1].
“A auditoria de sistemas é uma atividade voltada à avaliação dos procedimentos de
controle e segurança vinculados ao processamento eletrônico das informações. Tem como
funções: documentar, avaliar e monitorar sistemas de controles legais, gerenciais de aplicação
e operacionais” [8]. Procura certificar-se se as informações são corretas e oportunas; se existe
um processamento adequado das operações; se as informações estão protegidas contra
fraudes; se existe proteção das instalações e equipamentos; se existe proteção contra situações
de emergência (paralisação de processamento, perda de arquivos, inundação, incêndios, etc.).
Embora a auditoria de sistemas tenha dentre os seus objetivos a garantia da
informação, esse não é o seu foco, nem sua motivação, seu objetivo é garantir que os sistemas
estão funcionando adequadamente, segundo definições institucionais.
Na literatura especializada não há uma classificação ou denominação padronizada da
natureza ou dos tipos diversos de auditoria existente [3]. Entretanto, na classificação por tipo
ou área envolvida, é comum, dentre outras, a auditoria de Tecnologia da Informação.
Cláudia Dias [3] classifica a auditoria de TI como tipo de auditoria, essencialmente
operacional, por meio da qual os auditores analisam os sistemas de informática, o ambiente
computacional, a segurança das informações e o controle interno da entidade fiscalizada,
identificando seus pontos fortes e/ou deficiências. Em alguns países é conhecida como
auditoria informática, computacional ou de sistemas. Nesse tipo de auditoria o foco está nos
processos da área de informática e nos seus diversos controles.
O Instituto dos Auditores Internos do Brasil, através de sua Câmara Brasileira de
Auditoria Informática editou um Manual, Procedimentos de Auditoria Informática [4], que
orienta que, se há um número elevado de sistemas em operação e recursos reduzidos para o
desenvolvimento da auditoria, deve-se estabelecer critérios adequados para selecionar e
priorizar os sistemas para efeito de auditoria. A proposta deste trabalho está alinhada com essa
idéia de priorização, só que com o foco básico na Informação Estratégica.
Embora não haja um conceito universalmente aceito sobre auditoria da informação,
parece-nos apropriado defini-la como um processo utilizado para identificar as informações
necessárias para a organização e identificar seu nível de importância estratégica, identificar os
recursos e serviços correntemente providos para atender estas necessidades, mapear o fluxo de
informação na organização e entre a organização e o ambiente externo e analisar falhas,
duplicidades, ineficiências e áreas de saturação que identificam onde mudanças são
necessárias [7].
3. A Informação Estratégica
A informação estratégica é aquela que “a empresa precisa obter sobre o seu ambiente
operacional para poder mudar e desenvolver estratégias adequadas capazes de criar valor para
os clientes e de ser vantajosas em novos mercados e indústrias, em um tempo futuro”[10]. Ou
seja, a informação estratégica é aquela que suporta a tomada de decisão.
“A tomada de decisão é muito mais do que o momento final da escolha, sendo um
processo complexo de reflexão, investigação e análise. (...) o volume de informações e dados
colocados à disposição do decisor deve ser na medida certa.” [14].
A m b ie n t e ( C o n t e x t o )
P or q u e?
Q u a is o s
M o d e lo d e M o d e lo d e M o d e lo d e
b e n e fíc io s , c u s to e
O r g a n iz a ç ã o T a re fa s A g e n te s
o im p a c to s o b re a
o rg a n iz a ç ã o ?
C o n c e ito
O que?
Q u a l a n a tu re z a e
e s tru tu ra d o
M o d e lo d e M o d e lo d e
c o n h e c im e n to e
C o n h e c im e n to C o m u n ic a ç ã o
c o m u n ic a ç õ e s
im p lic a d o s ?
S iste m a
C om o?
C om o dev e ser
im p le m e n ta d o e M o d e lo d e
q ual deve se a D esen h o
a r q u it e t u r a d e
s o ftw a re ?
Propõe-se que cada objeto ou item de informação encontrado nos modelos acima
apresentados (principalmente do Modelo Tarefa) sejam transpostos para um formulário como
o que especificamos no Quadro 1, para subsidiar a montagem do plano de auditoria da
informação:
Quadro 1: MI01 – Modelo da Informação
Modelo da Informação – MI01
Informação Identificador e nome da informação.
Conteúdo Descrição do conteúdo da informação.
Tamanho Tamanho máximo.
Formato Alfanumérico, Numérico, Texto.
Armazenamento Mídia (mente, papel, eletrônica, outra).
Tarefas em que é utilizada Descrever as tarefas em que é utilizada.
Tarefas em que é transferida Descrever as tarefas por onde transita a
informação - (E-entrada) e (S-saída).
Forma como é transferida (Internet, Intranet, telefone, linha discada.,
Fax, papel, comunicação oral, outras).
Ambientes a que se expõe Intranet, Extranet, Internet, Área da
Organização, Localização, Main-frame.
Restrições Restrições quanto à informação: de prazo,
vida útil, de acesso limitado, de preser-
vação,publicação, legislação, normativa,etc.
Classificação da Informação Informação crítica (ligada à sobrevivência
da Organização); Informação Mínima
(ligada à Gestão da Organização);
Informação Potencial (pode gerar vantagens
competitivas); Informação sem interesse
(descartável) (Moresi, 2000).
Temporalidade Vida útil da informação, por quanto tempo
tem que ficar guardada.
Grau de Sigilo a ser aplicado Secreto (só o interessado tem acesso,
criptografada ou cifrada); Restrita (acesso
restrito à pessoas ou grupos limitados),
Privada (acesso aos funcionários no
exercício de tarefas); Pública (informação
disponível à qualquer interessado).
Agentes que tem acesso Identificados no modelo de agentes.
Agentes que necessitam ter acesso Identificados no modelo de agentes ou não.
Quanto à Origem: (Interna ou Externa à Organização) (de que
Sistema ou provedor).
Quanto ao Destino (Interno ou Externo à Organização) ( para
que Sistema ou destinatário).
Tipo (Papel, Eletrônico, Mente, Outros, Misto).
Segurança aplicada à informação (Tipos de proteção: malote, criptografia,
embaralhamento, senha de acesso,etc).
Com base nas informações registradas no formulário MI01 é possível que se faça um
plano de auditoria que contemple o alcance e objetivos da auditoria proposta, os recursos
necessários, tipos de auditoria a serem contempladas e um programa de trabalho que
possibilite avaliar a política de segurança de informações adotada, a segurança aplicada à
informação, os controles de acesso lógico, os controles de acesso físico, os controles
ambientais, a segregação de funções e a qualidade da informação que subsidiará o processo
decisório. É importante que se avalie também o plano de contingências e continuidade da
informação, de forma a garantir a sua existência e perpetuação em qualquer situação.
O Plano de Auditoria deve se basear, necessariamente em uma visão abrangente da
organização, obtida através do Modelo Organizacional. Deve identificar operações (tarefas)
que envolvam maior risco e áreas reconhecidamente problemáticas ou relevantes, dando
ênfase a esses pontos, intensificando os exames e/ou ampliando o escopo de auditoria.
Este plano deverá prever a auditoria nos sistemas de informação ou nos processos que
dão origem à informação; na produção dos sistemas que dão origem à informação ou processo
de produção da informação; nos ambientes o pela qual a informação transita; no sistema de
comunicação ou transmissão da informação, se for o caso; na armazenagem das informações;
na gestão da informação ou do sistema de informação.
Além das áreas de exame, enfoque a ser adotado, tipo de auditoria, análises
prioritárias, deve-se estimar o tempo e os recursos a serem aplicados na execução dos
trabalhos. Não existe outra fase do processo de Auditoria que afete mais o seu êxito do que o
seu planejamento.
A detenção de um sólido conhecimento sempre foi um componente estratégico na
evolução de qualquer empresa. Para prosperar, qualquer empresa tem que conseguir
transformar, a ritmos cada vez mais acelerados, informação em conhecimento, conhecimento
em decisão e decisão em ação. No entanto, com o atual grau de complexidade do negócio e de
variabilidade nas condições dos mercados, existe uma grande dificuldade em tratar e
disponibilizar informação adequada à geração de conhecimento útil para a organização.
A utilização do método CommonKADS possibilita, que se faça a auditoria da
informação, garantindo qualidades fundamentais a elas.
“Não há definição geralmente aceita sobre a qualidade da informação. Para muitas
pessoas o conceito tem aspectos vagos e subjetivos.” (Schwuchow,[15]).
Marchand [15], propõe desagregar o conceito de qualidade da informação em oito
dimensões inter-relacionadas: valor real (percepção do valor do produto –informação ou
serviço -, dependente de estilos individuais de tomada de decisão), características
suplementares (alerta sobre diferentes pesos que as características da informação podem ter
em contextos diversos de tomada de decisão), confiança (lembra da existência de atitudes
contraditórias de confiança em relação a fontes), significado do tempo (variabilidade da
atualidade da informação em diferentes contextos de tomada de decisão), relevância
(diferentes percepções de relevância da informação entre projetistas de sistemas e agentes de
tomada de decisão), validade (a criação da percepção de validade da informação, dependente
de quem a fornece e de como é apresentada), estética (há muita subjetividade neste aspecto) e
valor percebido (aponta a irracionalidade da atribuição de reputação pelo usuário à sistemas
de informação).
Apesar do conceito aplicado à qualidade das informações ser vago e do
reconhecimento tácito sobre a imprecisão das noções trabalhadas, os autores, geralmente
demonstram uma preocupação comum de traduzir a qualidade da informação em atributos
imediatos.
Na bibliografia sobre qualidade da informação, entretanto, há adjetivos comuns que
orbitam o conceito de qualidade da informação, são eles: relevância, utilidade, seletividade,
precisão, poder de síntese, pertinência, disponibilidade (estar disponível para a pessoa ou
grupo certo, na hora certa e local exato, na forma correta), confiabilidade, exatidão, alcance
(integralidade da informação), conveniência, clareza (livre de ambigüidades), oportunidade,
acessibilidade (facilidade de estar disponível aos interessados), tempestividade e segurança.
A auditoria da informação, utilizando o Método ComomKads de mapeamento das
informações, possibilita que se verifiquem todos os itens identificados.
Além da auditoria da informação, a aplicação do modelo proposto, permite que se faça
a auditoria do conhecimento. Possibilita o mapeamento do conhecimento da organização,
avaliação se o bem de conhecimento é utilizado da forma correta, no momento correto e com
a qualidade correta, se as competências exigidas para as tarefas existem e permite também
identificar e avaliar a natureza, a forma e a disponibilidade do conhecimento.
Pela realização da auditoria do conhecimento, cada empresa poderá determinar, não só
o seu “grau de inteligência”, mas também as suas forças e fraquezas e obter uma avaliação
científica do seu potencial competitivo o que poderá possibilitar elevar o seu nível de
Conhecimento. Uma Auditoria ao Conhecimento também permite identificar oportunidades e
áreas onde as melhorias são mais prementes.
7. Conclusão
Esta pesquisa inicialmente procurou propor que o método CommonKADS poderia ser
utilizado como um método para definir o foco da Auditoria da Informação, através da
identificação das informações estratégicas de uma organização ou área de negócio sobre a
qual ele fosse aplicado.
No decorrer da pesquisa o método apresentou-se não só capaz de identificar tais
informações mas ainda mais, ser um instrumento capaz de propiciar a execução de uma
verdadeira auditoria no conhecimento da organização.
Dessa forma a nossa proposição evoluiu: O método CommonKADS pode ser utilizado
como um instrumento de mapeamento tanto das informações, quanto do conhecimento
subsidiando a execução do Plano de Auditoria da Informação e do Plano de Auditoria do
Conhecimento nas organizações onde for aplicado.
Ainda que a história do tratamento do conhecimento como um bem precioso esteja
muito no início, já temos algumas indicações sobre o foco futuro do nosso esforço - garantir
que os componentes Pessoas e Processos, estejam verdadeiramente alinhados com o potencial
fornecido pela Tecnologia, que disseminará o conhecimento de forma tão rápida e eficaz
como hoje faz fluir a informação.
Referências Bibliográficas